SAP安全 - 登入票據

您可以配置數字簽名的SAP登入票據，以配置單點登入以訪問SAP環境中的整合應用程式。您可以配置門戶以向用戶頒發SAP登入票據，使用者需要對該系統進行身份驗證才能進行初始訪問。當向用戶頒發SAP登入票據時，它們會儲存到Web瀏覽器中，並允許使用者使用SSO登入到不同的系統。

在ABAP應用伺服器中，可以配置兩種不同型別的登入票據：

登入票據 - 這些票據允許使用SSO方法進行基於Web的訪問。
身份驗證斷言票據 - 這些票據用於系統間的通訊。

要配置SAP登入票據，應在使用者配置檔案中設定以下引數。

login/accept_sso2_ticket

您可以使用單點登入(SSO)票據來允許SAP系統之間甚至超出非SAP系統的SSO。SSO票據可以是登入票據或斷言票據。登入票據作為名為MYSAPSSO2的cookie傳輸。斷言票據作為名為MYSAPSSO2的HTTP標頭變數傳輸。

注意 - 這需要為頒發和接受系統執行其他配置步驟。SSO元件系統應允許透過SSO票據登入(login/accept_sso2_ticket = 1)。

如果僅將過程(X.509客戶端證書)用於單點登入，或者如果您不想為此係統使用單點登入，則可以停用此SSO票據登入(login/accept_sso2_ticket = 0)。

要設定引數，請使用事務RZ11

允許的值 - 0 / 1

login/create_sso2_ticket

您可以使用單點登入(SSO)票據來允許SAP系統之間甚至超出非SAP系統的SSO。SSO票據可以是登入票據或斷言票據。登入票據作為名為MYSAPSSO2的cookie傳輸。斷言票據作為名為MYSAPSSO2的HTTP標頭變數傳輸。

注意 - 這需要為頒發和接受系統執行其他配置步驟。

頒發系統應允許生成SSO票據：

允許的值 - 0 / 1 / 2 / 3

login/ticket_expiration_time

為了在使用mySAP.com工作區時實現單點登入(SSO)，可以使用SSO票據。建立SSO票據時，您可以設定有效期。一旦過期，SSO票據就不能再用於登入工作區元件系統。然後，使用者需要再次登入到工作區伺服器以獲取新的SSO票據。

允許的值 - <小時>[:<分鐘>]

如果輸入不正確的值，則使用預設值(8小時)。

正確的值如下所示：

24 → 24小時
1:30 → 1小時30分鐘
0:05 → 5分鐘

不正確的值如下：

40 (0:40是正確的)
0:60 (1是正確的)
10:000 (10是正確的)
24: (24是正確的)
1:A3

Metadata for Parameter Login Data and Expiration Time

X.509客戶端證書

使用SSO方法，您可以使用X.509客戶端證書來驗證NetWeaver應用伺服器。客戶端證書使用非常強大的加密方法來保護使用者對NetWeaver應用伺服器的訪問，因此您的NetWeaver應用伺服器應啟用強大的加密技術。

您應該在SAP NetWeaver應用伺服器上配置SSL，因為身份驗證是使用SSL協議進行的，無需輸入任何使用者名稱和密碼。要使用SSL協議，需要HTTPS連線才能在Web瀏覽器和NetWeaver ABAP應用伺服器之間進行通訊。

安全斷言標記語言(SAML2.0)

SAML2.0可以與單點登入SSO一起用作身份驗證，它可以在不同的域之間啟用SSO。SAML 2.0由名為OASIS的組織開發。它還提供單點登出選項，這意味著當用戶從所有系統登出時，SAP系統中的服務提供商會通知身份提供商，後者反過來會登出所有會話。

以下是使用SAML2.0身份驗證的優點：

您可以減少維護託管應用程式的系統對其他系統的身份驗證的開銷。
您還可以維護外部服務提供商的身份驗證，而無需在系統中維護使用者身份。
所有系統中的單點登出選項。
自動對映使用者帳戶。

Kerberos身份驗證

您還可以使用Kerberos身份驗證來透過Web客戶端和Web瀏覽器訪問SAP NetWeaver應用伺服器。它使用簡單和受保護的GSS API協商機制SPNego，這也需要單點登入SSO 2.0或更高版本以及額外的許可證才能使用此身份驗證。SPNego不支援傳輸層安全，因此建議使用SSL協議來向與NetWeaver應用伺服器的通訊新增傳輸層安全。

在上圖中，您可以看到可以在使用者配置檔案中配置用於身份驗證目的的不同身份驗證方法。

SAP中的每種身份驗證方法都有其自身的優點，並且可以在不同的場景中使用。

列印頁面